Spis treści. O naturze bezpieczeństwa, czyli jak opanować niepewność. Strategie bezpieczeństwa w IT. Uwaga na BYOD!

Wielkość: px
Rozpocząć pokaz od strony:

Download "Spis treści. O naturze bezpieczeństwa, czyli jak opanować niepewność. Strategie bezpieczeństwa w IT. Uwaga na BYOD!"

Transkrypt

1 Bezpieczeństwo IT 1

2 Spis treści O naturze bezpieczeństwa, czyli jak opanować niepewność Sebastian Pikur, Infovide-Matrix SA Strategie bezpieczeństwa w IT Krzysztof Labiak, itelligence Uwaga na BYOD! Krzysztof Wójtowicz, Check Point Software Technologies Polska Ochrona dostępności i treści stron internetowych Robert Dąbrowski, Fortinet Jak stworzyć zespół odpowiedzialny za bezpieczeństwo Skrót z raportu rady Security for Business Innovation Council Największe zagrożenia dla bezpieczeństwa w sieci w roku 2014 Raport Fundacji Bezpieczna Cyberprzestrzeń Strzeż tajemnic przedsiębiorstwa Krzysztof Rydlak, SpyShop Is IT safe? Jan Michałowicz, Innovation Experts Na bezpieczeństwo spójrzmy z góry Radosław Kaczorek, IMMUSEC Modelowanie zagrożeń i analiza ryzyka podejście praktyka Janusz Nawrat, Raiffeisen Bank Polska Czy hakerskie sztuczki z Watch Dogs to tylko fantastyka?

3 Bezpieczeństwo na portalu it-manager.pl Monitorować, czy nie monitorować pracowników? 7 grzechów głównych systemów backupu Firmowy majątek pod czujnym okiem Aplikacje mobilne rajem dla cyberprzestępców BYOD bez hurraoptymizmu Pracownik już nie jest najgroźniejszy Bezpieczeństwo w bankowości Uwaga na technologie mobilne PwC: Globalny stan bezpieczeństwa informacji 2014 Inwestycja w bezpieczeństwo vs optymalizacja wydatków Tak wygląda cyberwojna Hakerzy wykorzystują metody inżynierii społecznej Dlaczego Security Leadership ma znaczenie? Czy istnieją bezpieczne systemy? Redaktor naczelny: Robert Jesionek Współpraca redakcyjna: Barbara Mejssner Projekt graficzny i skład: Monika Bucoń 3

4 O naturze bezpieczeństwa, czyli jak opanować niepewność Sebastian Pikur, Infovide-Matrix SA Każda organizacja działa w niepewnym otoczeniu, które często ma sprzeczne interesy i negatywne nastawienie do jej działania. Niepewność otoczenia to ryzyko dla organizacji, które należy zidentyfikować i odpowiednio nim zarządzać. Właściwe zarządzanie ryzykiem umożliwi redukowanie zagrożeń i podatności na nie, a także pozwoli na wykorzystanie pojawiających się szans. Bezpieczeństwo jest podstawową potrzebą każdego człowieka, a jego zapewnienie, jest kluczowym aspektem stabilizacji i dobrobytu. Potrzeba bezpieczeństwa odnosi się do wszelkich dziedzin funkcjonowania człowieka zarówno życia prywatnego, jak też społecznego czy zawodowego. Taka osobista potrzeba przekłada się na oczekiwanie bezpieczeństwa organizacji firmy, w której dana osoba pracuje. Z pojęciem bezpieczeństwem nieodzownie związane jest ryzyko, rozumiane jako wpływ niepewności na cele. Takie określenie ryzyka znakomicie oddaje jego istotę z jednej strony, wskazuje na bezpośrednie powiązanie ryzyka z celami organizacji, a z drugiej pokazuje, że na realizację celów wpływa wiele nieznanych, zmiennych w czasie czynników. Każda organizacja działa w niebezpiecznym dla jej działań otoczeniu. Na kierownictwie organizacji spoczywa obowiązek zapewnienia bezpieczeństwa. Przez bezpieczeństwo rozumie się mechanizmy pozwalające organizacji radzić sobie w przypadku pojawiających się problemów. Celem wysiłków związanych z bezpieczeństwem jest zapewnienie trwałości organizacji oraz zapewnienie swobody działania. Do określenia pryncypiów bezpieczeństwa organizacji służy strategia bezpieczeństwa, która polega na zdefiniowaniu interesów, ocenie warunków bezpieczeństwa, sformułowaniu koncepcji strategicznej oraz ustanowieniu systemu bezpieczeństwa. Rozważając pojęcie bezpieczeństwa należy spojrzeć na nie w dwóch perspektywach: jako stan aktualne/osiągnięte poczucie bezpieczeństwa organizacji; jako proces działania dla zapewnienia poczucia bezpieczeństwa organizacji. Patrząc od strony praktycznej, bezpieczeństwo należy rozumieć, jako funkcjonowanie różnych procesów stricte z nim związanych oraz uwzględnienie zagadnień bezpieczeństwa w pozostałych procesach organizacji. Funkcjonowanie procesów związanych z bezpieczeństwem określa jego stan postrzegany przez osoby znajdujące się w organizacji. Efektywne działanie tych procesów powoduje, że personel organizacji czuje się bezpiecznie. Patrząc od strony procesów związanych wprost z bezpieczeństwem, najistotniejszy jest proces zarządzania ryzykiem. Inne procesy związane wprost z bezpieczeństwem to procesy zapewniające funkcjonowanie zarządzania nim, takie jak np. audyt wewnętrzny. W pozostałych procesach organizacji związanych z realizacją jej celów konieczne jest uwzględnienie elementów takich jak: 4

5 odpowiednia konstrukcja procesów (np. określona kolejność działań); wprowadzenie odpowiednich czynności do procesów; zastosowanie określonych procedur. Proces zarządzania ryzykiem, jako kluczowy proces zapewnienia bezpieczeństwa w organizacji służy koordynowaniu działań dotyczących kierowania i nadzorowania organizacją w odniesieniu do ryzyka. Ryzyko Ryzyko zgodnie z normą ISO/IEC jest definiowane, jako wpływ niepewności na cele, przy czym niepewność może być negatywna szkodzi realizacji celów, ale równie często może być pozytywna (określana jako szansa) wspiera i ułatwia realizację celów. Ryzyko najczęściej jednak jest utożsamiane z niepewnością w sensie negatywnym. Myśląc o ryzyku, rozważane są zazwyczaj zagrożenia dla funkcjonowania organizacji, jej słabości i podatności oraz niepożądane skutki, jakie mogą uderzyć w organizację, powodując negatywne następstwa. Przykładem takiej niepewności jest wyciek ważnych/wrażliwych informacji w wyniku szpiegostwa przemysłowego. Nie można jednak zapominać o pozytywnym wydźwięku niepewności, szansach stojących przed organizacją. Ten kierunek rozpatrywania ryzyka, jako prawdopodobnej, korzystnej sytuacji stojącej przed organizacją, daje możliwość spojrzenia i ocenienia szans w zupełnie innej perspektywie. Ujęcie ryzyka w sensie pozytywnym pozwala na oszacowanie prawdopodobieństwa wystąpienia pozytywnych następstw ryzyka. Przykładem pozytywnej niepewności, szansy jest możliwość pozyskania lukratywnego kontraktu. Niejednokrotnie niepewność ma jednocześnie charakter negatywny jak i pozytywny, stanowi zarówno zagrożenie dla organizacji, ale jest też jej szansą. Przykładem pokazującym takie ryzyko, jest np. sytuacja, w której firma realizuje kontrakt opierając się na pracy eksperta o wysokich i unikalnych kompetencjach. Zrealizowanie kontraktu w oparciu o prace eksperta przyniesie firmie bardzo wysokie zyski, jest jej szansą. Ale również oparcie prac na określonym ekspercie niesie ryzyko braku możliwości ukończenia prac, jeżeli ów ekspert z dowolnych przyczyn nie będzie mógł kontynuować pracy. Ryzyko w organizacji ma wiele płaszczyzn i może być określane na wielu poziomach. Wyróżniamy ryzyko organizacji w sensie ogólnym, dotyczącym całej organizacji określane na poszczególnych poziomach zarządzania: ryzyko na poziomie strategicznym; ryzyko na poziomie taktycznym; ryzyko na poziomie operacyjnym. Analizując ryzyko, konieczne jest rozłożenie go na dziedziny i analizowanie każdej z nich niezależnie. Rozkładając ryzyko na elementy składowe, możemy wyróżnić: ryzyko rynkowe; ryzyko prawne; ryzyko operacyjne; ryzyko reputacji. W kategorii ryzyka operacyjnego uwzględniamy w szczególności ryzyko przetwarzania danych, w tym ryzyko teleinformatyczne. Dziedziny ryzyka są prostopadłe w stosunku do poziomów zarządzania, w związku z czym, mówiąc np. o ryzyku rynkowym, musimy rozważać go zarówno na poziomie strategicznym, jak również taktycznym i operacyjnym. Ryzyko jest zatem obecne we wszystkich aspektach działania każdej organizacji i musi być uwzględniane na każdym poziomie zarządzania. Schematycznie obrazuje to Rysunek 1 Poziomy zarządzania ryzykiem. 5

6 Ryzyko na poziomie strategicznym Ryzyko rynkowe Ryzyko prawne Ryzyko operacyjne Ryzyko reputacji Ryzyko na poziomie taktycznym Ryzyko rynkowe Ryzyko prawne Ryzyko operacyjne Ryzyko reputacji Ryzyko na poziomie operacyjnym Ryzyko rynkowe Ryzyko prawne Ryzyko operacyjne Ryzyko reputacji Rysunek 1. Poziomy zarządzania ryzykiem Obecność ryzyka w każdym aspekcie działania organizacji ukierunkowuje potrzebę odpowiedniego nim zarządzania. Zastosowanie właściwych metod zarządzania ryzykiem jest kluczem do efektywnego panowania nad bezpieczeństwem organizacji, ale też mechanizmem identyfikowania i wykorzystywania szans pojawiających się przed organizacją. Zarządzanie ryzykiem pozwala też racjonalizować koszty funkcjonowania organizacji. Racjonalizowanie kosztów wynika z możliwości nadzorowania i wprowadzania tylko takich mechanizmów (środków bezpieczeństwa), które wykazują się uzasadnieniem finansowym, tj. koszty ponoszone na redukowanie ryzyka nie są wyższe niż skutki, jakie organizacja poniosłaby w przypadku materializacji ryzyka. Zarządzenie ryzykiem Jak zatem panować nad ryzykiem najprostsza odpowiedź to odpowiednio nim zarządzać. I tu pojawia się pierwsza dobra wiadomość każda organizacja zarządza ryzykiem, a dowodem na to, że robi to dość skutecznie jest istnienie tej organizacji. By łatwiej to zrozumieć, warto w tym miejscu spojrzeć na definicję zarządzania ryzykiem, np. pochodzącą z normy ISO/IEC W ramach procesu zarządzania ryzykiem następuje systematyczne stosowanie polityk, procedur i praktyk zarządzania do działań w zakresie komunikacji, konsultacji, ustanawiania kontekstu oraz identyfikowania, analizowania, ewaluacji, postępowania z ryzykiem, monitorowania i przeglądu ryzyka. Zarządzanie ryzykiem może odbywać się zupełnie nieświadomie organizacja podejmuje ryzyko działania i realizacji celów, działa w sposób zupełnie intuicyjny poprzez wykorzystanie szans, przeciwdziałanie wyzwaniom oraz redukowanie ryzyka w efekcie zarządza ryzykiem. Przeciwieństwem takiego podejścia jest stosowanie wyrafinowanych praktyk z zakresu zarządzania ryzykiem, metodyk i uwzględnianie dojrzałych mechanizmów zarządzania przy podejmowaniu decyzji. 6

7 Pomiędzy wymienionymi powyżej sposobami podejścia do zarządzania ryzykiem jest wiele miejsca, wiele różnych metod i stylów zarządzania. Każda organizacja musi dobrać sposób zarządzania ryzykiem do własnego profilu działania, do poziomu swojego rozwoju, do wielkości organizacji i wielu innych czynników. Rozważając wprowadzenie mechanizmów zarządzania ryzykiem, warto jest korzystać z gotowych wzorców. Ważne jest jednak, by wprowadzając do organizacji systematyczne zarządzanie ryzykiem, nie dobrać metod zbyt trudnych, bo takie podejście zamiast przynieść korzyści, będzie działało odwrotnie. Przykładem standardu zarządzania ryzykiem jest norma ISO/IEC Norma podaje zasady i wytyczne, które są możliwe do zastosowania w praktycznie każdej organizacji, w szczególności określa proces zarządzania ryzykiem. Podstawowym czynnikiem sukcesu przy wprowadzaniu zarządzania ryzykiem, jest zaangażowanie kierownictwa organizacji i przywództwo w podejmowanych działaniach. Zaangażowanie kierownictwa nie oznacza oczywiście konieczności jego udziału w wykonywaniu wszelkich czynności związanych z funkcjonowaniem systemu. Niemniej konieczne jest, by kierownictwo wspierało funkcjonowanie procesu np. poprzez zapewnienie wystarczających zasobów, czy dostęp do kompetencji. Bardzo ważny jest też udział kierownictwa w podejmowaniu decyzji odnośnie postępowania z ryzykiem organizacji, a także uwzględnianiu wyników szacowania ryzyka w podejmowaniu decyzji biznesowych. Wprowadzenie zarządzania ryzykiem musi wychodzić od określenia kontekstu zarządzania nim (patrz Rysunek 2 Proces zarządzania ryzykiem). Kontekst opisuje organizację, jej misję, cele i wizję, wpisuje się w strategię oraz uwzględnia procesy biznesowe funkcjonujące w ramach organizacji. Bardzo istotnym elementem kontekstu jest określenie otoczenia organizacji zarówno na poziomie logicznym: interesariusze, konkurencja, dostawcy, wymagania prawne, itd., jak również na poziomie fizycznym np. umiejscowienie magazynów. Określenie kontekstu jest podstawowym źródłem wiedzy o niepewnościach np. umiejscowienie magazynów może nieść ryzyko (gdy są umieszczone na terenie zalewowym) i jednocześnie może być szansą (gdy są umiejscowione blisko odbiorców). Komunikacja i konsultacje Ustanowienie kontekstu Ocena ryzyka Identyfikacja ryzyka Analiza ryzyka Ewaluacja ryzyka Postępowanie z ryzykiem Monitorowanie i przegląd Rysunek 2. Proces zarządzania ryzykiem 7

8 Kolejnym ważnym elementem wprowadzenia zarządzania ryzykiem jest określenie polityki, która m.in. podaje strategiczne podejście do wprowadzenia mechanizmów zarządzania nim. Zapisy polityki zarządzania są podstawowym narzędziem uzasadnienia sposobów zarządzania ryzykiem oraz wskazówką powiązania pomiędzy celami organizacji a ryzykiem. Niezmiernie ważnym elementem polityki bezpieczeństwa jest określenie sposobów mierzenia i raportowania wyników zarządzania ryzykiem. Skuteczność zarządzania ryzykiem zależy w znacznym stopniu od skuteczności komunikowania ryzyka. Komunikowanie ryzyka musi objąć personel organizacji, w szczególności właścicieli ryzyk oraz musi objąć interesariuszy zewnętrznych. Wprowadzenie skutecznych metod komunikacji ma zapewnić właściwe informowanie o ryzyku, ale przede wszystkim ma usprawniać przekazywanie informacji o czynnikach wpływających na ryzyko celem podejmowania odpowiednich działań. Określenie wielkości ryzyka, a więc określenie niepewności wpływającej na cele, następuje w procesie oceny ryzyka, na który składa się: identyfikacja ryzyka; analiza ryzyka; ewaluacja ryzyka. Sposób oceny ryzyka i zastosowanie odpowiedniej metodyki należy dobrać w odniesieniu do analizowanego procesu, a także specyfiki organizacji. W wyniku oceny ryzyka, określone zostają ryzyka dla których należy określić sposób postępowania. W klasycznym ujęciu, wyróżniamy cztery metody postępowania z ryzykiem: unikanie ryzyka np. wycofanie się z wprowadzenia ryzykownej usługi; minimalizowanie ryzyka np. zastosowanie dodatkowego zabezpieczenia; dzielenie się ryzykiem np. ubezpieczenie się od zalania; akceptacja ryzyka przyjęcie ryzyka w takiej wielkości, jak oszacowano. Zarządzanie ryzykiem musi być powiązane z precyzyjnym monitorowaniem. Musi ono obejmować zarówno monitorowanie zmian w ryzyku, jak też monitorowanie poprawności funkcjonowania procesu zarządzania ryzykiem, w tym monitorowanie postępowania z ryzykiem. Monitorowanie jest szczególnie ważne w przypadku ryzyk, które zostały zaakceptowane pomimo wysokiego poziomu ryzyka. Domknięcie procesu zarządzania ryzykiem jest dokonywane przez wprowadzenie mechanizmów doskonalenia. Doskonalenie ma obejmować przede wszystkim: proces zarządzania ryzykiem; sposoby analizy i oceny ryzyka; sposoby postępowania z ryzykiem. Podsumowanie Niepewność otaczająca każdego człowieka i każde działanie niesie ze sobą ryzyko. Wiedząc jednak, że ryzyko to nie tylko zagrożenie, ale również szansa, skupiajmy się na wykorzystywaniu szans. Pamiętając, że każdy zarządza ryzykiem doskonalmy stosowane metody to jest właściwa droga do oceniania i eksploatowania pojawiających się możliwości. Sebastian Pikur Ekspert ds. bezpieczeństwa oraz architekt rozwiązań w Infovide-Matrix SA. Ma ponad dziesięcioletnie doświadczenie w realizacji projektów teleinformatycznych, w tym realizacji dużych projektów IT dla administracji publicznej. Legitymuje się certyfikatami CISA, CISSP, ISO Lead Auditor, ISO Lead Auditor. 8

9 Strategie bezpieczeństwa w IT Krzysztof Labiak, itelligence Kluczem funkcjonowania każdego przedsiębiorstwa jest zapewnienie jego ciągłości działania. W świecie elektronicznego przetwarzania danych podstawowym aspektem jest opracowanie, wdrożenie i respektowanie polityki bezpieczeństwa informacji. Niestety w realnym świecie nie istnieje technologia, która potrafi z pełną skutecznością zabezpieczyć naszą infrastrukturę IT. Dlatego wielu menedżerów IT czy innych osób odpowiedzialnych za bezpieczeństwo skupia się na ochronie danych w kontekście ciągłej pracy nad wdrażaniem różnych technologii zabezpieczających. Opracowują standardy, analizują ryzyka z uwzględnieniem tak zwanego czynnika ludzkiego, czy ostatecznie fizycznego zabezpieczenia pomieszczeń, w których dane się znajdują, na przykład instalacja przeciwwłamaniowa, przeciwpożarowa, opracowanie kontroli dostępu itd. Kroki jakie należy podejmować w kontekście bezpieczeństwa zależą od wielu czynników, takich jak zakres prowadzonej działalności czy dostępności zasobów ludzkich, technologicznych i finansowych. Przy ich opracowaniu warto posługiwać się gotowymi standardami bezpieczeństwa takimi jak ITSEC, ISO Dokumenty te w dość precyzyjny sposób formalizują podejście do bezpieczeństwa. Ogólnie jednak możemy wyróżnić kilka filarów bezpieczeństwa takich jak: poufność, integralność, poziom dostępności. Dodatkowo należy również wziąć pod uwagę zgodność z legislacjami obowiązującymi w danym kraju i dotyczącymi określonej branży. Z tych powodów strategie bezpieczeństwa stosowane w firmach z branży medycznej będą odmienne od tych w koncernie samochodowym. Architekci bezpieczeństwa w chwili obecnej dysponują kilkudziesięcioletnim doświadczeniem w branży IT. Przy budowie rozwiązań mogą opierać się również na wielu międzynarodowych normach. Ponieważ zmieniają się technologie IT, również sposoby penetracji danych ulegają ciągłej zmianie. Rewidują się też wymagania funkcjonalne systemów. W związku z tym proces zapewnienia bezpieczeństwa jest procesem ciągłym i dynamicznym. Wyzwania stojące przed osobami zaangażowanymi w bezpieczeństwo są ogromne. Dla przykładu oprogramowanie, które jest przecież tylko jednym z elementów składowych rozpatrywanych w kontekście bezpieczeństwa jest narażone na błędy projektowe, programistyczne, związane z konfiguracją czy dalszym rozwojem. Idealne oprogramowanie realizujące tylko i wyłącznie funkcje, do których zostało stworzone, podobnie jak idealne technologie zabezpieczające, po prostu nie istnieje. Dlatego elementy związane z wdrożeniem, czasem życia aplikacji muszą być częścią składową polityki bezpieczeństwa. Oprócz klasycznych zagrożeń, z którymi specjaliści IT borykają się od wielu lat, w chwili obecnej dodatkowo należy rozważyć zagrożenia związane z dodatkowymi warstwami oprogramowania i sprzętu związanymi z wirtualizacją. Wiąże się z tym przetwarzanie w chmurze publicznej i prywatnej. Również wykorzystywanie urządzeń mobilnych staje się standardem. Dane firmy często też są przechowywane na urządzeniach, które nie są ich własnością. Ważne jest również to, aby w proces bezpieczeństwa informacji zaangażowani byli wszyscy pracownicy przedsiębiorstwa, od szczebla kierowniczego poprzez pracowników w siedzibie firmy, pracowników terenowych aż po wszystkie współpracujące firmy outsourcingowe a nawet klienci. Pracownik przedsiębiorstwa musi być częścią polityki bezpieczeństwa. Jest to element, który w istotny sposób może poprawić bezpieczeństwo przetwarzanych danych. Należy pamiętać, że zazwyczaj to właśnie tzw. czynnik ludzki odpowiada za zdecydowaną większość problemów związanych z incydentami bezpieczeństwa. 9

10 Polityka bezpieczeństwa musi być kompleksowa, ale też jak najprostsza. Skomplikowane procedury w praktyce są pomijane. Musi też obejmować bardzo szeroki wachlarz dziedzin od poprawności wykonania kopii zapasowych do zagrożeń związanych np. z niedostępnością serwerów czasu NTP, które ostatnio narażone były na ataki. Respektowanie polityki bezpieczeństwa firmy, przestrzegania zasad jest obecnie jednym z najważniejszych elementów funkcjonowania każdego nowoczesnego przedsiębiorstwa. Krzysztof Labiak Administrator systemów IT w firmie itelligence sp. z o.o. Absolwent Uniwersytetu Adama Mickiewicza w Poznaniu, Wydział Matematyki i Informatyki. Swoje doświadczenie zdobywał w jednym z największych szpitali w Poznaniu na stanowisku specjalisty informatyka, gdzie odpowiadał przede wszystkim za ciągłość działania serwerów oraz środowiska sieciowego poprzez utrzymanie bieżącej infrastruktury oraz wdrażanie nowych technologii. W itelligence odpowiedzialny za wirtualizację, administrację i opiekę nad wirtualizatorami, systemami i hardware klientów, a także prace projektowe Hyper-V. 10

11 Uwaga na BYOD! Krzysztof Wójtowicz, Check Point Software Technologies Polska W 2014 roku stanęliśmy w obliczu prawdziwej epidemii przestępstw w sieci, a małe i średnie przedsiębiorstwa stały się głównym celem hakerów. Rosnąca popularność BYOD i technologii chmury stały się furtką do kolejnych ataków, po których mniejsze firmy rzadko są w stanie się podnieść. Dlatego warto się zabezpieczyć. Bring or not to bring? Wśród zjawisk niosących największe zagrożenie dla ochrony danych, coraz częściej wymienia się BYOD (Bring Your Own Device), czyli przynoszenie do firmy i używanie przez pracowników prywatnych telefonów i tabletów. Według badań, aż 94% firm zaobserwowało rosnącą liczbę prywatnych urządzeń przenośnych, łączących się z firmową siecią (Dimensional Research, 2012). Bez tego rodzaju mobilności, trudno byłoby nam się obyć zwiększa to naszą produktywność, odrywa od biurek, pozwala na pracę w podróży. Jednak wiąże się z tym wiele zagrożeń na smartfonach i tabletach pracownicy często przechowują ogromną ilość prywatnych i służbowych danych, a urządzenia te łączą się z firmową siecią. Przedsiębiorstwa coraz ostrożniej muszą więc ważyć proporcje między ich mobilnością, a bezpieczeństwem. Bo priorytetem staje się ochrona poufnych informacji. Miliardy dolarów strat Codziennie na świecie dokonywanych jest ponad sto tysięcy nieznanych ataków na użytkowników sieci i kilkadziesiąt tysięcy ataków na strony www. W Polsce jest ich około 7-8 milionów rocznie. Choć należymy do grona państw o średnim zagrożeniu, to wyprzedzamy np. Czechy i Słowację. Szacuje się, że straty rodzimych firm w 2013r. mogły sięgnąć 100 milionów złotych. Ale to i tak znacznie mniej niż w Stanach Zjednoczonych, gdzie przedsiębiorstwa w wyniku ataków tracą 250 miliardów dolarów rocznie. Hakerzy coraz częściej za cel obierają sobie także urządzenia mobilne w 2013 r. liczba ataków na telefony i tablety wzrosła aż sześciokrotnie. Według prognoz, liczba wirusów mobilnych może wkrótce przewyższyć tą przygotowywaną na komputery osobiste. Już dziś, jest ich 650 tysięcy odmian. Uchronić się przed atakiem Polskie przedsiębiorstwa popełniają błąd, skupiając się jedynie na ochronie systemów i zapominając o zabezpieczeniu baz danych. A to właśnie firmy, które przechowują wrażliwe dane, są najbardziej narażone na ataki. Z badań przeprowadzonych w 2013r. przez Check Point Software Technolgies wynika, że prawie połowa firm (42%) zanotowała straty powyżej 100 tysięcy dolarów. Mimo to, tylko niewiele ponad połowa z nich (53%) planuje zwiększenie wydatków na ochronę IT w tym roku (Kapsch, 2013). Niebezpieczeństwo w chmurze Zagrożone mogą być także te dane, które firmy decydują się przechowywać w wirtualnej przestrzeni, tzw. chmurze. Technologia Cloud Computing umożliwia zapis danych poza dyskiem i gwarantuje, że nie zostaną one w żaden sposób skasowane, a co ważniejsze, będą dostępne z każdego komputera na świecie. Jednak takie rozwiązanie stwarza zagrożenie wycieku poufnych danych w niepowołane ręce. 11

12 Według ekspertów Check Point Software Technologies istnieje kilka prostych zasad, które pomagają zabezpieczyć firmę: 1. Popularne hasła to złe hasła Hasła to pierwsza linia ochrony, jeżeli chodzi o bezpieczeństwo IT. Cyberprzestępcy włamujący się do sieci będą na początku próbować najpopularniejszych haseł. 2. Zabezpiecz każde wejście Wystarczą tylko jedne otwarte drzwi, aby haker dostał się do sieci. Sieć należy zabezpieczyć tak samo jak zabezpiecza się dom zamykając wszystkie możliwe wejścia do naszego komputera. Najlepiej stosując silne hasła, korzystać z Firewalla lub lepiej rozwiązań bardziej szeroko zabezpieczających sieć firmową takich jak Firewall Next Generation (NGFW) od Check Point, oraz zabezpieczać stacje robocze za pomocą programów antywirusowych, antyspamowych i antyphishingowych. 3. Segmentacja sieci Jedną z metod ochrony sieci jest podzielenie jej na strefy np. jedną dla działań przedsiębiorstwa, a drugą dla gości, w której klienci będą mogli korzystać z Internetu, jednak bez możliwości połączenia się z Twoją siecią wewnętrzną. 4. Definiuj, edukuj i wymagaj przestrzegania polityki bezpieczeństwa Warto poświęcić trochę czasu i zastanowić się, z których aplikacji można swobodnie korzystać w sieci wewnętrznej, a które powinny być zablokowane. Przede wszystkim należy zdefiniować politykę dotyczącą prawidłowego korzystania z sieci zawierającą dozwolone oraz niedozwolone aplikacje i strony. 5. Zagrożenie w trakcie korzystania z portali społecznościowych Portale społecznościowe są dla hakerów prawdziwą kopalnią wiedzy na temat ludzi, a informacje z nich pochodzące zwiększają prawdopodobieństwo skutecznie przeprowadzonego ataku. Ataki typu phishing, spearphising czy oparte o inżynierię społecznościową zaczynają się od zbierania prywatnych danych dotyczących poszczególnych osób. 6. Zaszyfruj wszystko, co się da Jeden wyciek danych może być prawdziwym ciosem dla firmy lub jej reputacji. Warto zabezpieczyć swoje wrażliwe dane stosując szyfrowanie. Taki proces powinien być też łatwo dostępny dla pracowników. 12

13 7. Dbaj o swoją sieć jak o swój samochód Regularny przegląd i audyt sieci oraz urządzeń sprawią, że sieć będzie funkcjonowała bezpiecznie. Warto, aby systemy operacyjne były zawsze zaktualizowane do najnowszej wersji, podobnie jest z innymi aplikacjami i programami. 8. Ostrożność w chmurze Przechowywanie danych i aplikacje osadzone w chmurze są obecnie bardzo popularne. Ale warto być ostrożnym. Każda treść przesłana do chmury staje się otwarta dla przestępców w sieci. 9. Nie przyznawaj każdemu praw administratora Ograniczenie dostępu pracowników do poziomu konta użytkownika redukuje możliwości złośliwego oprogramowania (tzw. malware) w stosunku do jego możliwości w przypadku działania z uprawnieniami administratora. 10. Nie wpuszczaj słonia BYOD do składu porcelany Zacznij od zdefiniowania polityki Bring Your Own Device. Wiele firm unika tego tematu, jednak trend BYOD staje się coraz silniejszy. Nie wpuszczaj słonia do składu porcelany! Jest to znowu kwestia edukacji użytkowników. Krzysztof Wójtowicz Managing Director Check Point Software Technologies Polska Od lat związany z rynkiem telekomunikacyjnym i IT. W Check Point, gdzie pracuje od 2007 roku, odpowiada m.in. za strategię wprowadzania i dystrybucji nowych usług i rozwiązań Check Point na polskim rynku oraz za współpracę z partnerami handlowymi firmy. Spółka Check Point Software Technologies Ltd., światowy lider w dziedzinie bezpieczeństwa jest jedynym producentem zapewniającym całkowite bezpieczeństwo sieci, danych oraz urządzeń końcowych w jednej strukturze zarządzania. Check Point zapewnia klientom ochronę przed wszelkimi rodzajami zagrożeń, ogranicza złożoność systemu bezpieczeństwa i obniża koszty własności. Innowacyjne rozwiązania Check Point zapewniają bezpieczne, elastyczne i proste rozwiązana, które można w łatwy sposób implementować i dostosowywać do specyficznych potrzeb różnych środowisk. 13

14 Ochrona dostępności i treści stron internetowych Robert Dąbrowski, Fortinet Strony internetowe stanowią w dzisiejszym społeczeństwie kluczowy kanał informacyjny oraz biznesowy. Dla większości użytkowników Internetu portale kojarzą się w pierwszej kolejności ze źródłem codziennych informacji społecznych, politycznych, gospodarczych czy sportowych. To z ich poziomu obecni i potencjalni klienci szukają informacji o firmie i jej produktach oraz dokonują zakupów, a partnerzy handlowi uzyskują dostęp do zasobów. W ostatnim czasie w Polsce byliśmy świadkami masowego wykorzystania informacji dostępnych online podczas mistrzostw Europy w piłce nożnej EURO 2012, obecnie obserwujemy śledzenie i komentowanie na dużą skalę wydarzeń politycznych w kontekście sytuacji na Ukrainie. Strona WWW jest dostępna dla każdego. To czyni ją naturalnym celem dla cyberprzestępców, hakerów i tzw. Haktywistów, dziś wiemy, że także dla osób działających na zlecenie sił politycznych frakcji, partii a nawet agencji rządowych. Niezależnie od zakładanego celu oraz sposobu przeprowadzenia ataku, może mieć on poważne konsekwencje, w tym utrudniony dostęp do informacji, dezinformację, utratę dochodów, narażenie na szwank reputacji instytucji oraz kradzież poufnych informacji. Media regularnie donoszą o atakach na strony internetowe firm, a także organizacji publicznych samorządowych oraz centralnych. Wyzwania w zakresie ochrony aplikacji WWW Podstawowym wyzwaniem przy ochronie aplikacji WWW jest zapewnienie ich dostępności. Ataki DDoS przestały wykorzystywać jedynie wysycenie łącza, ale stały się bardziej zaawansowane i w sposób trudny do wykrycia potrafią zaburzyć pracę serwerów uniemożliwiając dostęp do prezentowanych treści. 14

15 Anatomia ataku DDoS Badania przeprowadzone przez firmę Verizon pokazały, że dwa najczęstsze motywy ataków na strony internetowe to kradzież (w celu osiągnięcia np. przewagi technologicznej) oraz tzw. haktywizm (wyraz niezadowolenia lub protestu). Ataki te są przeprowadzane za pomocą eksploitów wykorzystujących luki w zabezpieczeniach systemu operacyjnego lub aplikacji WWW. Z kolei bardziej zaawansowane ataki, takie jak SQL injection czy cross-site scripting, przeprowadza się w celu uzyskania dostępu do poufnych danych. Nierzadko wektor ataku mającego na celu zmianę publikowanych treści pochodzi z wewnątrz sieci po przejęciu kontroli nad komputerami danej organizacji. Korzyść finansowa lub osobista 71% 96% Zabawa, ciekawość, duma 3% 25% Niezadowolenie lub protest 3% 25% Uraza, przesłanki osobiste 3% 1% Wszystkie firmy i instytucje Duże firmy i instytucje Raport firmy Verizon nt. przypadków naruszenia bezpieczeństwa danych, 2012 r. Dezinformacja polegająca na podmianie dostępnych na portalu treści jest możliwa do wykrycia i skorygowania stosunkowo skutecznie, ale działalność na forach internetowych przeszkolonych agentów lub wyrafinowanych botnetów wyrządza szkody trudne do oszacowania i naprawienia. Wprowadza w błąd opinię publiczną, wywołuje konflikty, utrwala fałszywe, często absurdalne poglądy. Problemy związane z ochroną stron internetowych i aplikacji biorą się przede wszystkim z ich architektury i dynamiki. O ile zapewnienie bezpieczeństwa sieci jest względnie łatwe wystarczy zdefiniować reguły bezpieczeństwa autoryzujące lub blokujące określony rodzaj ruchu z/do sieci/serwerów o tyle strony internetowe składają się z setek, a nawet tysięcy różnych elementów, obejmujących adresy URL, parametry i pliki cookie. Ręczne definiowanie reguł dla poszczególnych elementów jest praktycznie niewykonalne, a ponadto uniemożliwia skalowalność. Inna zasadnicza różnica pomiędzy regułami stosowanymi na firewallu w porównaniu do platform do ochrony aplikacji webowych w kontekście kategoryzacji i filtrowania aplikacji czy adresów URL dotyczy kierunku działania. Filtrowanie URL na firewallu działa w kierunku 15

16 do Internetu, jeżeli chcemy chronić portal musimy polegać na reputacji użytkowników. Trudno oczekiwać, że atak będzie prowadzony z określonych państw, dlatego oprócz GEO lokalizacji należy posłużyć się reputacją adresów IP pod kątem botnetów czy proxy internetowych pozwalających zachować anonimowość. Ochrona zasobów internetowych organizacji Ochrona zasobów internetowych firmy musi być kompleksowa, tzn. musi obejmować zarówno stronę i powiązane z nią aplikacje, jak i sieć. Fortinet zaleca ochronę aplikacji WWW obejmującą następujące elementy: Bezpieczne techniki tworzenia aplikacji i aktualizacje kodu źródłowego. Bezpieczne tworzenie aplikacji w ramach cyklu programowania powinno być integralną częścią każdego projektu tworzenia aplikacji. Dzięki postępowaniu według wytycznych Open Web Application Security Project (OWASP) i innych organizacji, użytkownicy mogą tworzyć bezpieczniejsze i bardziej zaufane aplikacje, co zmniejsza liczbę ewentualnych eksploitów w całym cyklu programowania. Ocena luk w zabezpieczeniach aplikacji WWW oraz testy penetracyjne. Aplikacje należy weryfikować ręcznie lub za pomocą narzędzi do automatycznej oceny luk w zabezpieczeniach w celu identyfikacji podatności. Ochrona przed atakami DDoS. Organizacje muszą zrozumieć, że ataki DDoS mogą mieć różne oblicza i różne cele. Dlatego kluczowe jest komplementarne zastosowanie filtrowania ruchu po stronie operatora chroniące przed wysyceniem pasma na łączu internetowym oraz filtrowania ruchu w centrum danych. Filtrowanie w centrum danych pozwala chronić przed atakami w warstwie aplikacji zużywającymi zasoby serwerowe, a także zablokować ruch z niepożądanych regionów geograficznych, botnetów oraz proxy internetowych. Dedykowane rozwiązania anty DDoS gwarantują ochronę i wymaganą wydajność dzięki zastosowaniu specjalizowanych układów ASIC. Web Application Firewall (WAF). WAF pozwala firmom i instytucjom wykrywać i blokować ataki wymierzone w warstwę aplikacji. Oprócz tradycyjnych zabezpieczeń sieciowych warto zastosować specjalizowane rozwiązanie WAF, jako że zwykłe zapory są projektowane z myślą o wykrywaniu i unieszkodliwianiu ataków na poziomie sieci i portów, nie zaś aplikacji. Do swojego dotychczasowego firewalla sieciowego można dodać Web Application Firewall i dzięki temu spełnić specyficzne wymagania wobec aplikacji WWW oraz zwiększyć ogólny poziom bezpieczeństwa sieci. FortiDDoS-2000B Zaawansowane rozwiązania Fortinet: FortiDDoS, FortiGate i FortiWeb pozwalają na skuteczne reagowanie na pojawiające się wyzwania w zakresie zapewnienia dostępności oraz ochrony dostarczanych treści. 16

17 Rozwiązanie FortiDDoS jest wyposażone w nowy, oparty na analizie behawioralnej mechanizm unieszkodliwiania ataków. Urządzenie tworzy wzorzec normalnego zachowania aplikacji, a następnie monitoruje ruch sieciowy względem takiego wzorca. W przypadku pojawienia się ataku, FortiDDoS potraktuje go jak anomalię i podejmie natychmiastowe działania w celu ograniczenia jego skutków. Pozwala to identyfikować aktualne i przyszłe zagrożenia oraz ograniczać ich skutki w oparciu o ich wzorce i zawartość. Urządzenia nie wymagają aktualizacji sygnatur, dzięki czemu zapewniają lepszą ochronę przed atakami typu zero-day poprzez dynamiczne monitorowanie charakterystyki ruchu. Bardzo krótki czas reakcji i blokowania zagrożeń, możliwy dzięki zastosowaniu zaawansowanych procesorów ASIC, pozwala na bieżąco dokonywać ponownej oceny ataków. Ogranicza to negatywny wpływ fałszywych alarmów w momencie, gdy ruch sieciowy wraca do normy. Fortinet to jedyna firma, która w swoich produktach do ochrony przed atakami DDoS stosuje w pełni dedykowane procesory ASIC. Takie podejście eliminuje koszty ogólne występujące w systemach opartych na zwykłych procesorach lub układach hybrydowych. Druga generacja procesorów sieciowych FortiASIC-TP2 umożliwia wykrywanie ataków DDoS i ograniczanie ich skutków przez pojedynczy procesor obsługujący każdy rodzaj ruchu w warstwach 3, 4 i 7 warstwy aplikacyjnej OSI/ISO. Konkurencyjne rozwiązania korzystają z różnych kombinacji procesorów. W przypadku takich rozwiązań część ruchu jest przypisana do procesora ASIC, a część do zwykłego procesora, przy czym w niektórych modelach zwykły procesor obsługuje całość ruchu. Prowadzi to do powstawania wąskich gardeł i obniżenia ogólnej wydajności systemu. Jeżeli są Państwo zainteresowani przetestowaniem rozwiązań Fortinet, prosimy o wypełnienie formularza: Robert Dąbrowski Senior System Engineer, Fortinet Polska Ma za sobą 16-letnie doświadczenie w pracy z systemami teleinformatycznymi. Pracował między innymi 9 lat w Alcatel Polska jako inżynier systemowy oraz 2,5 roku w Solidex jako kierownik zespołu konsultantów. Uczestniczył w wielu rozbudowanych projektach sieciowych mających na celu zapewnienie bezpieczeństwa informacji w infrastrukturze przedsiębiorstw oraz operatorów telekomunikacyjnych. W Fortinet od lipca

18 Jak stworzyć zespół odpowiedzialny za bezpieczeństwo Publikujemy dla Państwa skrót z raportu rady Security for Business Innovation Council. Rada Security for Business Innovation Council (SBIC) twierdzi, że funkcja zapewniania bezpieczeństwa informacji powinna obejmować swoim zasięgiem całe przedsiębiorstwo. Zabezpieczenia należy wbudowywać w procesy biznesowe, a zespoły ds. bezpieczeństwa powinny ściśle współpracować z jednostkami biznesowymi w zakresie zarządzania ryzykiem zagrażającym bezpieczeństwu informacji oraz minimalizacji zagrożeń z cyberprzestrzeni. Członkowie rady SBIC sformułowali siedem zaleceń, które mają pomóc przedsiębiorstwom w tworzeniu nowoczesnych zespołów ds. bezpieczeństwa, dysponujących zróżnicowanymi umiejętnościami, które będą niezbędne do realizowania rozszerzonego zakresu obowiązków związanych z zarządzaniem ryzykiem zagrażającym zasobom informacyjnym przedsiębiorstwa. Zalecenia członków rady SBIC zostały przedstawione w nowym raporcie udostępnionym przez RSA. Informacje szczegółowe RSA, dział zabezpieczeń firmy EMC Corporation, opublikował raport specjalny rady Security for Business Innovation Council (SBIC), w którym przedstawiono zasady tworzenia przyszłościowego programu bezpieczeństwa począwszy od powołania nowoczesnego zespołu ds. bezpieczeństwa informacji, aż po zarządzanie cyklem życia zagrożeń z cyberprzestrzeni, występujących w dzisiejszych globalnych przedsiębiorstwach. W ciągu ostatnich miesięcy odnotowano znaczne zmiany w ogólnych wymaganiach dotyczących skuteczności działania zespołów ds. bezpieczeństwa informacji. Zmiany te zostały wymuszone upowszechnieniem się w środowiskach biznesowych różnych form komunikacji sieciowej, pojawianiem się nowych zagrożeń, wdrażaniem nowych technologii oraz wprowadzaniem coraz bardziej restrykcyjnych przepisów. W związku z tym zmieniają się zakresy działań i obowiązków zespołów ds. bezpieczeństwa informacji w przedsiębiorstwach. W najnowszym raporcie pt. Transforming Information Security: Designing a Stateof-the Art Extended Team (Zmiana zasad zapewniania bezpieczeństwa informacji: tworzenie nowoczesnego zespołu) stwierdzono, że zespoły ds. bezpieczeństwa informacji muszą się rozwijać i zdobywać kwalifikacje, które w dziedzinie zapewniania bezpieczeństwa nie były wcześniej potrzebne. Są to między innymi umiejętność zarządzania ryzykiem biznesowym oraz wiedza z zakresu prawa, marketingu, matematyki i zakupów. System zapewniania bezpieczeństwa informacji musi także obejmować model wspólnej odpowiedzialności, w ramach którego odpowiedzialność za zabezpieczanie zasobów informacyjnych jest ponoszona wspólnie z menadżerami i dyrektorami działów biznesowych przedsiębiorstwa. Kierownictwa firm zaczynają rozumieć, że w dzisiejszych czasach ryzyko biznesowe obejmuje również zagrożenia z cyberprzestrzeni. W zespołach ds. bezpieczeństwa występują braki w wielu kompetencjach technicznych i biznesowych niezbędnych do realizowania rozszerzonego zakresu obowiązków spoczywających na tych zespołach. Konieczne więc będzie opracowanie nowych strategii zdobywania i pogłębiania takich kompetencji we własnym zakresie, a także korzystania z wiedzy specjalistycznej usługodawców zewnętrznych. 18

19 Aby pomóc przedsiębiorstwom w stworzeniu nowoczesnego zespołu ds. bezpieczeństwa, rada SBIC sformułowała siedem zaleceń: 1. Ponowne zdefiniowanie i rozwój podstawowych kompetencji zespół główny powinien poszerzać kwalifikacje w czterech dziedzinach: analiza zagrożeń z cyberprzestrzeni oraz danych nt. bezpieczeństwa; zarządzanie danymi nt. bezpieczeństwa; doradztwo w zakresie ryzyka oraz projektowanie i wdrażanie mechanizmów kontroli. 2. Delegowanie czynności rutynowych należy powierzać wykonywanie powtarzalnych, sprawdzonych procesów z zakresu zapewniania bezpieczeństwa działowi informatyki, jednostkom biznesowym i/lub usługodawcom zewnętrznym. 3. Wypożyczanie lub wynajmowanie ekspertów w określonych specjalizacjach należy uzupełniać główny zespół ekspertami wewnętrznymi i zewnętrznymi. 4. Kierowanie właścicielami ryzyka w zakresie zarządzania ryzykiem należy współpracować z jednostkami biznesowymi w zakresie zarządzania ryzykiem zagrażającym bezpieczeństwu w cyberprzestrzeni oraz koordynować wypracowywanie spójnego podejścia. 5. Wynajmowanie specjalistów ds. optymalizacji procesów należy zadbać o to, aby w zespole znaleźli się specjaliści z doświadczeniem i certyfikatami w zakresie zarządzania jakością, projektami lub programami, optymalizacji procesów i świadczenia usług. 6. Budowanie kluczowych relacji należy zdobywać zaufanie kluczowych podmiotów oraz możliwości wywierania na nie wpływu. Do podmiotów takich należą właściciele kluczowych procesów, kierownictwo średniego szczebla oraz usługodawcy zatrudniani na zasadzie outsourcingu. 7. Dbałość o rozwijanie kwalifikacji pracowników z myślą o przyszłych potrzebach z uwagi na brak potrzebnych specjalistów, w przypadku większości przedsiębiorstw, jedynym przyszłościowym rozwiązaniem jest rozwój kwalifikacji pracowników. Szczególnie przydatne będzie zdobywanie umiejętności w dziedzinach, takich jak tworzenie oprogramowania, analiza biznesowa, zarządzanie finansami, wywiad wojskowy, prawo, ochrona danych osobowych, analityka danych oraz złożona analiza statystyczna. 19

20 ENTERPRISE INFORMATION SECURITY TEAMS Old School STATE ART VS OF THE M I S S I O N Concentrates on conventional security activities such as: Shifts focus to businesscentric and advanced technical activities such as: Developing policy Implementing and operating security controls Business risk analysis Asset valuation IT supply chain integrity Cyber threat intelligence Security data analytics Data warehousing Process optimization E X P E R T I S E IT professionals with security skills Multidisciplinary group of specialists with diverse business leadership and technical skills F O C U S Focuses on reactive and day-to-day activities Focuses on proactive and strategic activities A P P R O A C H Siloed approach with we ll do it all ourselves attitude D.I.Y. V I E W Check-list or compliance view whereby Security s goal is to mitigate all risks 20 Collaborative approach with shared accountability for protecting information O F R I S K Business units own the risk/reward decisions. Security operates a risk consultancy to advise the business on assessing and managing risks

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji 2012 Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji Niniejszy przewodnik dostarcza praktycznych informacji związanych z wdrożeniem metodyki zarządzania ryzykiem w obszarze bezpieczeństwa

Bardziej szczegółowo

epolska XX lat później Daniel Grabski Paweł Walczak

epolska XX lat później Daniel Grabski Paweł Walczak epolska XX lat później Daniel Grabski Paweł Walczak BIG TRENDY TECHNOLOGICZNE TRANSFORMACJA DOSTĘPU DO LUDZI I INFORMACJI +WYZWANIA W OBSZARZE CYBERBEZPIECZEŃSTWA Mobile Social Cloud Millennials (cyfrowe

Bardziej szczegółowo

Czy ochrona sieci jest nadal wyzwaniem, czy tylko jednorazową usługą?

Czy ochrona sieci jest nadal wyzwaniem, czy tylko jednorazową usługą? Warszawa, 9 października 2014r. Czy ochrona sieci jest nadal wyzwaniem, czy tylko jednorazową usługą? Grzegorz Długajczyk ING Bank Śląski Które strony popełniały najwięcej naruszeń w ostatnich 10 latach?

Bardziej szczegółowo

Architektura bezpieczeństwa informacji w ochronie zdrowia. Warszawa, 29 listopada 2011

Architektura bezpieczeństwa informacji w ochronie zdrowia. Warszawa, 29 listopada 2011 Architektura informacji w ochronie zdrowia Warszawa, 29 listopada 2011 Potrzeba Pomiędzy 17 a 19 kwietnia 2011 roku zostały wykradzione dane z 77 milionów kont Sony PlayStation Network. 2 tygodnie 25 milionów

Bardziej szczegółowo

SIŁA PROSTOTY. Business Suite

SIŁA PROSTOTY. Business Suite SIŁA PROSTOTY Business Suite REALNE ZAGROŻENIE Internetowe zagrożenia czyhają na wszystkie firmy bez względu na to, czym się zajmują. Jeśli masz dane lub pieniądze, możesz stać się celem ataku. Incydenty

Bardziej szczegółowo

Informatyka w kontroli i audycie

Informatyka w kontroli i audycie Informatyka w kontroli i audycie Informatyka w kontroli i audycie Wstęp Terminy zajęć 30.11.2013 - godzina 8:00-9:30 ; 9:45-11:15 15.12.2013 - godzina 8:00-9:30 ; 9:45-11:15 05.04.2014 - godzina 15:45-17:15

Bardziej szczegółowo

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski Autor: Artur Lewandowski Promotor: dr inż. Krzysztof Różanowski Przegląd oraz porównanie standardów bezpieczeństwa ISO 27001, COSO, COBIT, ITIL, ISO 20000 Przegląd normy ISO 27001 szczegółowy opis wraz

Bardziej szczegółowo

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk dr T Bartosz Kalinowski 17 19 września 2008, Wisła IV Sympozjum Klubu Paragraf 34 1 Informacja a system zarządzania Informacja

Bardziej szczegółowo

BAKER TILLY POLAND CONSULTING

BAKER TILLY POLAND CONSULTING BAKER TILLY POLAND CONSULTING Wytyczne KNF dla firm ubezpieczeniowych i towarzystw reasekuracyjnych w obszarze bezpieczeństwa informatycznego An independent member of Baker Tilly International Objaśnienie

Bardziej szczegółowo

Bezpieczeństwo danych w sieciach elektroenergetycznych

Bezpieczeństwo danych w sieciach elektroenergetycznych Bezpieczeństwo danych w sieciach elektroenergetycznych monitorowanie bezpieczeństwa Janusz Żmudziński Polskie Towarzystwo Informatyczne Nadużycia związane z bezpieczeństwem systemów teleinformatycznych

Bardziej szczegółowo

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( ) Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( ) Dr inż. Elżbieta Andrukiewicz Przewodnicząca KT nr 182 Ochrona informacji w systemach teleinformatycznych

Bardziej szczegółowo

Promotor: dr inż. Krzysztof Różanowski

Promotor: dr inż. Krzysztof Różanowski Warszawska Wyższa Szkoła Informatyki Prezentacja do obrony pracy dyplomowej: Wzorcowa polityka bezpieczeństwa informacji dla organizacji zajmującej się testowaniem oprogramowania. Promotor: dr inż. Krzysztof

Bardziej szczegółowo

Zagrożenia bezpieczeństwa informacji. dr inż. Wojciech Winogrodzki T-Matic Grupa Computer Plus Sp. z o.o.

Zagrożenia bezpieczeństwa informacji. dr inż. Wojciech Winogrodzki T-Matic Grupa Computer Plus Sp. z o.o. Zagrożenia bezpieczeństwa informacji dr inż. Wojciech Winogrodzki T-Matic Grupa Computer Plus Sp. z o.o. Czym jest bezpieczeństwo informacji? Bezpieczeństwo informacji to: (teoretycznie) stan wolny od

Bardziej szczegółowo

2.11. Monitorowanie i przegląd ryzyka 2.12. Kluczowe role w procesie zarządzania ryzykiem

2.11. Monitorowanie i przegląd ryzyka 2.12. Kluczowe role w procesie zarządzania ryzykiem Spis treści Wstęp 1. Wprowadzenie 1.1. Co to jest bezpieczeństwo informacji? 1.2. Dlaczego zapewnianie bezpieczeństwa informacji jest potrzebne? 1.3. Cele, strategie i polityki w zakresie bezpieczeństwa

Bardziej szczegółowo

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych Wstęp... 13 1. Wprowadzenie... 15 1.1. Co to jest bezpieczeństwo informacji?... 17 1.2. Dlaczego zapewnianie bezpieczeństwa informacji jest potrzebne?... 18 1.3. Cele, strategie i polityki w zakresie bezpieczeństwa

Bardziej szczegółowo

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC 27001 oraz BS 25999 doświadczenia audytora

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC 27001 oraz BS 25999 doświadczenia audytora Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC 27001 oraz BS 25999 doświadczenia audytora Krzysztof Wertejuk audytor wiodący ISOQAR CEE Sp. z o.o. Dlaczego rozwiązania

Bardziej szczegółowo

Bezpieczeństwo dziś i jutro Security InsideOut

Bezpieczeństwo dziś i jutro Security InsideOut Bezpieczeństwo dziś i jutro Security InsideOut Radosław Kaczorek, CISSP, CISA, CIA Partner Zarządzający w IMMUSEC Sp. z o.o. Radosław Oracle Security Kaczorek, Summit CISSP, 2011 CISA, Warszawa CIA Oracle

Bardziej szczegółowo

DLA SEKTORA INFORMATYCZNEGO W POLSCE

DLA SEKTORA INFORMATYCZNEGO W POLSCE DLA SEKTORA INFORMATYCZNEGO W POLSCE SRK IT obejmuje kompetencje najważniejsze i specyficzne dla samego IT są: programowanie i zarządzanie systemami informatycznymi. Z rozwiązań IT korzysta się w każdej

Bardziej szczegółowo

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji dr inż. Bolesław Szomański Wydział Zarządzania Politechnika Warszawska b.szomański@wz.pw.edu.pl Plan Prezentacji

Bardziej szczegółowo

Zarządzanie bezpieczeństwem informacji w urzędach pracy

Zarządzanie bezpieczeństwem informacji w urzędach pracy Materiał informacyjny współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego Zarządzanie bezpieczeństwem informacji w urzędach pracy Radek Kaczorek, CISA, CIA, CISSP,

Bardziej szczegółowo

Technologia Automatyczne zapobieganie exploitom

Technologia Automatyczne zapobieganie exploitom Technologia Automatyczne zapobieganie exploitom Podejście Kaspersky Lab do bezpieczeństwa opiera się na ochronie wielowarstwowej. Większość szkodliwych programów powstrzymuje pierwsza warstwa zostają np.

Bardziej szczegółowo

www.ergohestia.pl Ryzyka cybernetyczne

www.ergohestia.pl Ryzyka cybernetyczne Ryzyka cybernetyczne W dobie technologicznego rozwoju i danych elektronicznych zabezpieczenie się przed szkodami cybernetycznymi staje się konieczne. Według ekspertów ryzyka cybernetyczne będą w najbliższych

Bardziej szczegółowo

Cybersecurity rosnące ryzyko prawne i reputacyjne Bezpieczeostwo IT - Bezpieczeostwo prawne Bezpieczeostwo Biznesu

Cybersecurity rosnące ryzyko prawne i reputacyjne Bezpieczeostwo IT - Bezpieczeostwo prawne Bezpieczeostwo Biznesu Cybersecurity rosnące ryzyko prawne i reputacyjne Bezpieczeostwo IT - Bezpieczeostwo prawne Bezpieczeostwo Biznesu Domaoski Zakrzewski Palinka sp. k. Marzec 2016 Czy sami dbamy o nasze bezpieczeostwo?

Bardziej szczegółowo

Zarządzanie i realizacja projektów systemu Microsoft SharePoint 2010

Zarządzanie i realizacja projektów systemu Microsoft SharePoint 2010 Zarządzanie i realizacja projektów systemu Microsoft SharePoint 2010 Geoff Evelyn Przekład: Natalia Chounlamany APN Promise Warszawa 2011 Spis treści Podziękowania......................................................

Bardziej szczegółowo

Bezpieczeństwo danych (kradzież, nieautoryzowana edycja) Bezpieczeństwo IT (sniffing, spoofing, proxy anonimizujące, tunelowanie i przekierowanie

Bezpieczeństwo danych (kradzież, nieautoryzowana edycja) Bezpieczeństwo IT (sniffing, spoofing, proxy anonimizujące, tunelowanie i przekierowanie www.axence.pl Bezpieczeństwo danych (kradzież, nieautoryzowana edycja) Bezpieczeństwo IT (sniffing, spoofing, proxy anonimizujące, tunelowanie i przekierowanie połączeń, tabnabbing, clickjacking, DoS,

Bardziej szczegółowo

Usługi i rozwiązania IT dla biznesu

Usługi i rozwiązania IT dla biznesu Usługi i rozwiązania IT dla biznesu lat doświadczeń specjalistów przedsięwzięć krajów od 1995 r. na rynku konsultanci, programiści, kierownicy projektów wspieranych dla ponad 400 klientów klienci i projekty

Bardziej szczegółowo

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014 1 QUO VADIS.. BS? Rekomendacja D dlaczego? Mocne fundamenty to dynamiczny rozwój. Rzeczywistość wdrożeniowa. 2 Determinanty sukcesu w biznesie. strategia, zasoby (ludzie, kompetencje, procedury, technologia)

Bardziej szczegółowo

Wszechstronne urządzenie. z wbudowanymi wszystkimi funkcjami. zapory ogniowej i technologiami. zabezpieczeń. Symantec Gateway Security SERIA 5400

Wszechstronne urządzenie. z wbudowanymi wszystkimi funkcjami. zapory ogniowej i technologiami. zabezpieczeń. Symantec Gateway Security SERIA 5400 Wszechstronne urządzenie z wbudowanymi wszystkimi funkcjami zapory ogniowej i technologiami zabezpieczeń Symantec Gateway Security SERIA 5400 W obliczu nowoczesnych, wyrafinowanych zagrożeń bezpieczeństwa

Bardziej szczegółowo

Bezpieczeństwo danych i systemów informatycznych. Wykład 1

Bezpieczeństwo danych i systemów informatycznych. Wykład 1 Bezpieczeństwo danych i systemów informatycznych Wykład 1 1. WPROWADZENIE 2 Bezpieczeństwo systemu komputerowego System komputerowy jest bezpieczny, jeśli jego użytkownik może na nim polegać, a zainstalowane

Bardziej szczegółowo

Application Security Verification Standard. Wojciech Dworakowski, SecuRing

Application Security Verification Standard. Wojciech Dworakowski, SecuRing Application Security Verification Standard Wojciech Dworakowski, SecuRing login: Wojciech Dworakowski OWASP Poland Chapter Leader OWASP = Open Web Application Security Project Cel: Podnoszenie świadomości

Bardziej szczegółowo

sprawdzonych porad z bezpieczeństwa

sprawdzonych porad z bezpieczeństwa 65 sprawdzonych porad z bezpieczeństwa 65 sprawdzonych porad z bezpieczeństwa 65 sprawdzonych porad z bezpieczeństwa 65 sprawdzonych porad z bezpieczeństwa O niebezpieczeństwach czyhających na użytkowników

Bardziej szczegółowo

Usługa skanowania podatności infrastruktury IT Banków oraz aplikacji internetowych

Usługa skanowania podatności infrastruktury IT Banków oraz aplikacji internetowych Usługa skanowania podatności infrastruktury IT Banków oraz aplikacji internetowych Prezentacja na Forum Liderów Banków Spółdzielczych Dariusz Kozłowski Wiceprezes Centrum Prawa Bankowego i Informacji sp.

Bardziej szczegółowo

Społecznej odpowiedzialności biznesu można się nauczyć

Społecznej odpowiedzialności biznesu można się nauczyć Społecznej odpowiedzialności biznesu można się nauczyć Maciej Cieślik Korzyści płynące z wprowadzania strategii społecznej odpowiedzialności biznesu w przedsiębiorstwach mają wymiar nie tylko wizerunkowy.

Bardziej szczegółowo

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl SPIS TREŚCI I. POSTANOWIENIA OGÓLNE... 2 II. DEFINICJA BEZPIECZEŃSTWA INFORMACJI... 2 III. ZAKRES STOSOWANIA...

Bardziej szczegółowo

Zarządzanie ryzykiem Klasyfikacja Edukacja. Maciej Iwanicki, Symantec Łukasz Zieliński, CompFort Meridian

Zarządzanie ryzykiem Klasyfikacja Edukacja. Maciej Iwanicki, Symantec Łukasz Zieliński, CompFort Meridian Zarządzanie ryzykiem Klasyfikacja Edukacja Maciej Iwanicki, Symantec Łukasz Zieliński, CompFort Meridian Organizacja obszarów technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego 5.4.

Bardziej szczegółowo

Mariusz Bodeńko Olsztyn, 06.12.2013. Bezpieczeństwo w Internecie

Mariusz Bodeńko Olsztyn, 06.12.2013. Bezpieczeństwo w Internecie Mariusz Bodeńko Olsztyn, 06.12.2013 Bezpieczeństwo w Internecie O mnie Pracuję od kilku lat jako administrator sieci i systemów, odpowiedzialny za ich działanie i rozwój oraz bezpieczeństwo infrastruktury,

Bardziej szczegółowo

FOCUS TELECOM POLSKA SP. Z O.O. Materiał Informacyjny

FOCUS TELECOM POLSKA SP. Z O.O. Materiał Informacyjny FOCUS TELECOM POLSKA SP. Z O.O. Materiał Informacyjny I. INFORMACJE OGÓLNE Focus Telecom Polska Sp. z o.o. działa w branży ICT od 2008 roku. Firma specjalizuje się w tworzeniu i dostarczaniu innowacyjnych

Bardziej szczegółowo

Bezpieczeństwo dla wszystkich środowisk wirtualnych

Bezpieczeństwo dla wszystkich środowisk wirtualnych Bezpieczeństwo dla wszystkich środowisk wirtualnych SECURITY FOR VIRTUAL AND CLOUD ENVIRONMENTS Ochrona czy wydajność? Liczba maszyn wirtualnych wyprzedziła fizyczne już 2009 roku. Dzisiaj ponad połowa

Bardziej szczegółowo

BAKER TILLY POLAND CONSULTING

BAKER TILLY POLAND CONSULTING BAKER TILLY POLAND CONSULTING Audyt systemów wewnętrznych An independent member of Baker Tilly International Baker Tilly Poland Consulting Baker Tilly Poland Consulting oferuje profesjonalne usługi z zakresu

Bardziej szczegółowo

Przyszłość to technologia

Przyszłość to technologia Przyszłość to technologia - twórz ją z nami Innowacyjne projekty dla prestiżowych klientów Wdrażamy jedne z największych w kraju projekty z dziedziny informatyki i nowoczesnych technologii. Realizujemy

Bardziej szczegółowo

Zagrożenia związane z udostępnianiem aplikacji w sieci Internet

Zagrożenia związane z udostępnianiem aplikacji w sieci Internet Zagrożenia związane z udostępnianiem aplikacji w sieci Internet I Ogólnopolska Konferencja Informatyki Śledczej Katowice, 8-9 stycznia 2009 Michał Kurek, Aleksander Ludynia Cel prezentacji Wskazanie skali

Bardziej szczegółowo

Szanse i zagrożenia płynące z nowoczesnych metod świadczenia usług informatycznych (outsourcing, offshoring, SOA, cloud computing) w bankowości

Szanse i zagrożenia płynące z nowoczesnych metod świadczenia usług informatycznych (outsourcing, offshoring, SOA, cloud computing) w bankowości Szanse i zagrożenia płynące z nowoczesnych metod świadczenia usług informatycznych (outsourcing, offshoring, SOA, cloud computing) w bankowości Jakub Syta, CISA, CISSP Warszawa, 14 czerwca 2010 1 Zastrzeżenie

Bardziej szczegółowo

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej Wiesław Paluszyński Prezes zarządu TI Consulting Plan prezentacji Zdefiniujmy

Bardziej szczegółowo

Kradzież danych przez pracowników czy można się przed tym ustrzec? Damian Kowalczyk

Kradzież danych przez pracowników czy można się przed tym ustrzec? Damian Kowalczyk Kradzież danych przez pracowników czy można się przed tym ustrzec? Damian Kowalczyk Katowice, 13.02.2014r. Kim jesteśmy i co robimy? Od 15 lat Warszawa. na rynku. Lokalizacja: Katowice, 30 specjalistów

Bardziej szczegółowo

Polityka Bezpieczeństwa jako kluczowy element systemu informatycznego. Krzysztof Młynarski Teleinformatica Krzysztof.Mlynarski@security.

Polityka Bezpieczeństwa jako kluczowy element systemu informatycznego. Krzysztof Młynarski Teleinformatica Krzysztof.Mlynarski@security. Polityka Bezpieczeństwa jako kluczowy element systemu informatycznego Krzysztof Młynarski Teleinformatica Krzysztof.Mlynarski@security.pl Główne zagadnienia referatu Pojęcie Polityki Bezpieczeństwa Ocena

Bardziej szczegółowo

Zarządzanie projektami a zarządzanie ryzykiem

Zarządzanie projektami a zarządzanie ryzykiem Ewa Szczepańska Zarządzanie projektami a zarządzanie ryzykiem Warszawa, dnia 9 kwietnia 2013 r. Agenda Definicje Wytyczne dla zarządzania projektami Wytyczne dla zarządzania ryzykiem Miejsce ryzyka w zarządzaniu

Bardziej szczegółowo

PureSystems zautomatyzowane środowisko aplikacyjne. Emilia Smółko Software IT Architect

PureSystems zautomatyzowane środowisko aplikacyjne. Emilia Smółko Software IT Architect PureSystems zautomatyzowane środowisko aplikacyjne. Emilia Smółko Software IT Architect Wbudowana wiedza specjalistyczna Dopasowane do zadania Optymalizacja do aplikacji transakcyjnych Inteligentne Wzorce

Bardziej szczegółowo

E safety bezpieczny Internet. Mariusz Bodeńko Białystok, 04.12.2013

E safety bezpieczny Internet. Mariusz Bodeńko Białystok, 04.12.2013 E safety bezpieczny Internet Mariusz Bodeńko Białystok, 04.12.2013 O mnie Obecnie od kilku lat administrator sieci i systemów wykorzystywanych w zakładzie produkcyjnym, odpowiedzialny za ich działanie

Bardziej szczegółowo

Przedstawiamy produkt KASPERSKY ENDPOINT SECURITY FOR BUSINESS

Przedstawiamy produkt KASPERSKY ENDPOINT SECURITY FOR BUSINESS Przedstawiamy produkt KASPERSKY ENDPOINT SECURITY FOR BUSINESS 1 Czynniki biznesowe i ich wpływ na środowisko IT SPRAWNOŚĆ Bądź szybki, zwinny i elastyczny 66 proc. właścicieli firm uważa sprawność prowadzenia

Bardziej szczegółowo

ZAPYTANIE OFERTOWE. Zamawiający. Przedmiot zapytania ofertowego. Wrocław, dnia 23.03.2015 r.

ZAPYTANIE OFERTOWE. Zamawiający. Przedmiot zapytania ofertowego. Wrocław, dnia 23.03.2015 r. ZAPYTANIE OFERTOWE Wrocław, dnia 23.03.2015 r. W związku z realizacją przez Nova Telecom spółka z ograniczoną odpowiedzialnością, projektu pn.: Wdrożenie zintegrowanego systemu klasy B2B, umożliwiającego

Bardziej szczegółowo

Oprogramowanie, usługi i infrastruktura ICT w małych i średnich firmach w Polsce 2015. Na podstawie badania 800 firm z sektora MŚP

Oprogramowanie, usługi i infrastruktura ICT w małych i średnich firmach w Polsce 2015. Na podstawie badania 800 firm z sektora MŚP Oprogramowanie, usługi i infrastruktura ICT w małych i średnich firmach w Polsce 2015 2 Język: polski, angielski Data publikacji: IV kwartał 2015 Format: pdf Cena od: 2400 Możesz mieć wpływ na zawartość

Bardziej szczegółowo

BCC Data Centers. Oferta: Outsourcing IT, cloud computing Optymalizacja i bezpieczeństwo IT. Tytuł prezentacji 1

BCC Data Centers. Oferta: Outsourcing IT, cloud computing Optymalizacja i bezpieczeństwo IT. Tytuł prezentacji 1 BCC Data Centers Oferta: Outsourcing IT, cloud computing Optymalizacja i bezpieczeństwo IT SAP Competence Center Tytuł prezentacji 1 BCC Software Factory Wyspecjalizowany ośrodek kompetencyjny BCC, świadczący

Bardziej szczegółowo

Projektowanie zabezpieczeń Centrów Danych oraz innych systemów informatycznych o podwyższonych wymaganiach bezpieczeństwa

Projektowanie zabezpieczeń Centrów Danych oraz innych systemów informatycznych o podwyższonych wymaganiach bezpieczeństwa Projektowanie zabezpieczeń Centrów Danych oraz innych systemów informatycznych o podwyższonych wymaganiach bezpieczeństwa dr inż. Mariusz Stawowski mariusz.stawowski@clico.pl Agenda Wprowadzenie Specyficzne

Bardziej szczegółowo

Agenda. Quo vadis, security? Artur Maj, Prevenity

Agenda. Quo vadis, security? Artur Maj, Prevenity Quo vadis, security? Artur Maj, Prevenity Agenda 1. Bezpieczeostwo informacji rys historyczny 2. Najistotniejsze wyzwania bezpieczeostwa - obecnie i w najbliższym czasie 3. Nasze rekomendacje 1 Bezpieczeostwo

Bardziej szczegółowo

Polskie firmy na drodze ku cyfrowej transformacji

Polskie firmy na drodze ku cyfrowej transformacji Prognoza IT 2015 Polskie firmy na drodze ku cyfrowej transformacji Żyjemy w czasach przełomowych zmian wywołanych przez rozwój i upowszechnienie technologii. Jak te zmiany przekładają się na biznes? Jaką

Bardziej szczegółowo

Security Master Class

Security Master Class Security Master Class Platforma kompleksowej analizy zdarzeń Linux Polska SIEM Radosław Żak-Brodalko Senior Solutions Architect Linux Polska sp. z o.o. Podstawowe problemy Jak pokryć lukę między technicznym

Bardziej szczegółowo

Zarządzenie Nr 24/2012 Rektora Uniwersytetu Wrocławskiego z dnia 28 marca 2012 r. w sprawie Polityki zarządzania ryzykiem

Zarządzenie Nr 24/2012 Rektora Uniwersytetu Wrocławskiego z dnia 28 marca 2012 r. w sprawie Polityki zarządzania ryzykiem Zarządzenie Nr 24/2012 Rektora Uniwersytetu Wrocławskiego z dnia 28 marca 2012 r. w sprawie Polityki zarządzania ryzykiem Na podstawie art. 66 ust. 2 ustawy z dnia 27 lipca 2005 r. - Prawo o szkolnictwie

Bardziej szczegółowo

Palo Alto firewall nowej generacji

Palo Alto firewall nowej generacji Palo Alto firewall nowej generacji Agenda Wprowadzenie do koncepcji firewall-a nowej generacji Główne funkcjonalności firewalla Palo Alto Dostępne modele sprzętowe Firewall nowej generacji w nawiązaniu

Bardziej szczegółowo

SQL z perspektywy hakera - czy Twoje dane są bezpieczne? Krzysztof Bińkowski MCT,CEI,CEH,ECSA,ECIH,CLFE,MCSA,MCSE..

SQL z perspektywy hakera - czy Twoje dane są bezpieczne? Krzysztof Bińkowski MCT,CEI,CEH,ECSA,ECIH,CLFE,MCSA,MCSE.. SQL z perspektywy hakera - czy Twoje dane są bezpieczne? Krzysztof Bińkowski MCT,CEI,CEH,ECSA,ECIH,CLFE,MCSA,MCSE.. Cel prezentacji Spojrzymy na dane i serwery SQL z perspektywy cyberprzestępcy, omówimy

Bardziej szczegółowo

Zarządzanie ryzykiem w bezpieczeostwie IT

Zarządzanie ryzykiem w bezpieczeostwie IT Zarządzanie ryzykiem w bezpieczeostwie IT GIGACON 2011 Marek Abramczyk CISA, CRISC, CISSP, LA ISO27001 Warszawa, 29.11.2011 ABIWAY 1 /34 Agenda 1 2 3 4 5 6 7 Omówienie procesu zarządzania ryzykiem ISO27005

Bardziej szczegółowo

EFEKTY KSZTAŁCENIA DLA KIERUNKU STUDIÓW ZARZĄDZANIE STUDIA PIERWSZEGO STOPNIA - PROFIL OGÓLNOAKADEMICKI

EFEKTY KSZTAŁCENIA DLA KIERUNKU STUDIÓW ZARZĄDZANIE STUDIA PIERWSZEGO STOPNIA - PROFIL OGÓLNOAKADEMICKI EFEKTY KSZTAŁCENIA DLA KIERUNKU STUDIÓW ZARZĄDZANIE STUDIA PIERWSZEGO STOPNIA - PROFIL OGÓLNOAKADEMICKI Umiejscowienie kierunku w obszarach kształcenia Kierunek studiów Zarządzanie reprezentuje dziedzinę

Bardziej szczegółowo

Metodologia ochrony informacji w systemach klasy desktop oraz na urządzeniach przenośnych

Metodologia ochrony informacji w systemach klasy desktop oraz na urządzeniach przenośnych Metodologia ochrony informacji w systemach klasy desktop oraz na urządzeniach przenośnych Krzysztof Młynarski (krzysztof.mlynarski@teleinformatica.com.pl) Teleinformatica Pomimo występowania bardzo wielu

Bardziej szczegółowo

Mateusz Kurleto NEOTERIC. Analiza projektu B2B Kielce, 18 października 2012

Mateusz Kurleto NEOTERIC. Analiza projektu B2B Kielce, 18 października 2012 2012 Pierwsze przymiarki do zakresu informatyzacji (rodzaj oprogramowania: pudełkowe, SaaS, Iaas, CC, PaaS. Zalety i wady: dostępność, koszty, narzędzia, ludzie, utrzymanie, bezpieczeństwo, aspekty prawne)

Bardziej szczegółowo

Zdrowe podejście do informacji

Zdrowe podejście do informacji Zdrowe podejście do informacji Warszawa, 28 listopada 2011 Michał Tabor Dyrektor ds. Operacyjnych Trusted Information Consulting Sp. z o.o. Agenda Czym jest bezpieczeostwo informacji Czy wymagania ochrony

Bardziej szczegółowo

ISO 27001. bezpieczeństwo informacji w organizacji

ISO 27001. bezpieczeństwo informacji w organizacji ISO 27001 bezpieczeństwo informacji w organizacji Czym jest INFORMACJA dla organizacji? DANE (uporządkowane, przefiltrowane, oznaczone, pogrupowane ) Składnik aktywów, które stanowią wartość i znaczenie

Bardziej szczegółowo

ZARZĄDZANIE MARKĄ. Doradztwo i outsourcing

ZARZĄDZANIE MARKĄ. Doradztwo i outsourcing ZARZĄDZANIE MARKĄ Doradztwo i outsourcing Pomagamy zwiększać wartość marek i maksymalizować zysk. Prowadzimy projekty w zakresie szeroko rozumianego doskonalenia organizacji i wzmacniania wartości marki:

Bardziej szczegółowo

Zintegrowany System Zarządzania w Śląskim Centrum Społeczeństwa Informacyjnego

Zintegrowany System Zarządzania w Śląskim Centrum Społeczeństwa Informacyjnego Zintegrowany System Zarządzania w Śląskim Centrum Społeczeństwa Informacyjnego Beata Wanic Śląskie Centrum Społeczeństwa Informacyjnego II Śląski Konwent Informatyków i Administracji Samorządowej Szczyrk,

Bardziej szczegółowo

bezpieczeństwo na wszystkich poziomach

bezpieczeństwo na wszystkich poziomach 1 bezpieczeństwo bezpieczeństwo Środowisko Samsung KNOX w zakresie bezpieczeństwa świetne uzupełnia systemy Mobile Device Management (MDM), wykorzystując kilka zaawansowanych mechanizmów, w celu poprawy

Bardziej szczegółowo

Skuteczne rozpoznanie oraz kontrola aplikacji i użytkowników sieci - rozwiązanie Palo Alto Networks

Skuteczne rozpoznanie oraz kontrola aplikacji i użytkowników sieci - rozwiązanie Palo Alto Networks Skuteczne rozpoznanie oraz kontrola aplikacji i użytkowników sieci - rozwiązanie Palo Alto Networks Systemy informatyczne zmieniają się, a wraz z nimi wymagane jest stosowanie środków bezpieczeństwa odpowiednich

Bardziej szczegółowo

Świadomy Podatnik projekt Rady Podatkowej PKPP Lewiatan. www.radapodatkowa.pl

Świadomy Podatnik projekt Rady Podatkowej PKPP Lewiatan. www.radapodatkowa.pl Świadomy Podatnik projekt Rady Podatkowej PKPP Lewiatan www.radapodatkowa.pl RYZYKO PODATKOWE Marcin Kolmas Definicja pojęcia ryzyka podatkowego na cele naszego spotkania Co to jest ryzyko podatkowe Ryzyko

Bardziej szczegółowo

Bezpieczeństwo systemów informatycznych Radek Kaczorek, CISA, CIA, CISSP, CRISC

Bezpieczeństwo systemów informatycznych Radek Kaczorek, CISA, CIA, CISSP, CRISC Konferencja organizowana w ramach projektu Implementacja i rozwój systemu informacyjnego publicznych służb zatrudnienia Bezpieczeństwo systemów informatycznych Radek Kaczorek, CISA, CIA, CISSP, CRISC Konferencja

Bardziej szczegółowo

Cyberbezpieczeństwo w świecie płatności natychmiastowych i e-walletów. Michał Olczak Obserwatorium.biz Warszawa, 29.10.2015

Cyberbezpieczeństwo w świecie płatności natychmiastowych i e-walletów. Michał Olczak Obserwatorium.biz Warszawa, 29.10.2015 Cyberbezpieczeństwo w świecie płatności natychmiastowych i e-walletów Michał Olczak Obserwatorium.biz Warszawa, 29.10.2015 O mnie Michał Olczak, Członek zarządu, CTO absolwent Politechniki Poznańskiej,

Bardziej szczegółowo

Nowe możliwości zapewnienia skutecznej ochrony przed zagrożeniami wewnętrznymi

Nowe możliwości zapewnienia skutecznej ochrony przed zagrożeniami wewnętrznymi Nowe możliwości zapewnienia skutecznej ochrony przed zagrożeniami wewnętrznymi Obecnie znakomita większość firm wykorzystujących technologie teleinformatyczne do prowadzenia biznesu, stosuje w swoich infrastrukturach

Bardziej szczegółowo

ANALITYK BEZPIECZEŃSTWA IT

ANALITYK BEZPIECZEŃSTWA IT ANALITYK BEZPIECZEŃSTWA IT 1. TEMATYKA Bezpieczeństwo informacji jest jednym z najważniejszych elementów sukcesu w dzisiejszym świecie. Postępująca informatyzacja zarówno w życiu prywatnym jak i biznesowym

Bardziej szczegółowo

Rynek ERP. dr inż. Andrzej Macioł http://amber.zarz.agh.edu.pl/amaciol/

Rynek ERP. dr inż. Andrzej Macioł http://amber.zarz.agh.edu.pl/amaciol/ Rynek ERP dr inż. Andrzej Macioł http://amber.zarz.agh.edu.pl/amaciol/ Rynek ERP na świecie (2013) Światowy rynek systemów ERP szacowany jest obecnie na ok. 25,4 miliarda dolarów (dane za rok 2013) wobec

Bardziej szczegółowo

Wybawi się od niebezpieczeństwa jedynie ten, kto czuwa także gdy czuje się bezpieczny Publiusz Siro. Audyt bezpieczeństwa

Wybawi się od niebezpieczeństwa jedynie ten, kto czuwa także gdy czuje się bezpieczny Publiusz Siro. Audyt bezpieczeństwa Wybawi się od niebezpieczeństwa jedynie ten, kto czuwa także gdy czuje się bezpieczny Publiusz Siro Audyt bezpieczeństwa Definicja Audyt systematyczna i niezależna ocena danej organizacji, systemu, procesu,

Bardziej szczegółowo

Robert Meller, Nowoczesny audyt wewnętrzny

Robert Meller, Nowoczesny audyt wewnętrzny Robert Meller, Nowoczesny audyt wewnętrzny Spis treści: O autorze Przedmowa CZĘŚĆ I. PODSTAWY WSPÓŁCZESNEGO AUDYTU WEWNĘTRZNEGO Rozdział 1. Podstawy audytu 1.1. Historia i początki audytu 1.2. Struktura

Bardziej szczegółowo

Zaufanie jest bardzo ważne. Nie chcemy, aby nasze projekty trafiły w niepowołane ręce.

Zaufanie jest bardzo ważne. Nie chcemy, aby nasze projekty trafiły w niepowołane ręce. Zaufanie jest bardzo ważne. Nie chcemy, aby nasze projekty trafiły w niepowołane ręce. Wszystkie dokumenty zawsze przy Tobie Zwiększ swoje możliwości współpracy Coraz częściej pracujemy w podróży, więc

Bardziej szczegółowo

! Retina. Wyłączny dystrybutor w Polsce

! Retina. Wyłączny dystrybutor w Polsce ! Retina 0 0 Rozwiązania BeyondTrust dostarczają informacji niezbędnych do podejmowania właściwych decyzji i zmniejszenia ryzyka dla zasobów i użytkowników. 1 1 10,000+ licencji 80%największych światowych

Bardziej szczegółowo

Akamai Technologies jest wiodącym dostawcą usług w chmurze do optymalizacji

Akamai Technologies jest wiodącym dostawcą usług w chmurze do optymalizacji Akamai Technologies jest wiodącym dostawcą usług w chmurze do optymalizacji i zabezpieczania treści i biznesowych aplikacji online. Firma została założona w 1998 przez Toma Leightona, profesora na MIT

Bardziej szczegółowo

Wdrożenie nowych proinnowacyjnych usług sprzyjających dyfuzji innowacji w sektorze MSP nr umowy: U- POIG.05.02.00-00-016/10-00

Wdrożenie nowych proinnowacyjnych usług sprzyjających dyfuzji innowacji w sektorze MSP nr umowy: U- POIG.05.02.00-00-016/10-00 Regulamin usługi Wdrożenie nowych proinnowacyjnych usług sprzyjających dyfuzji innowacji w sektorze MSP nr umowy: U- POIG.05.02.00-00-016/10-00 Projekt realizowany jest w ramach Działania 5.2 Wsparcie

Bardziej szczegółowo

Szkolenie otwarte 2016 r.

Szkolenie otwarte 2016 r. Warsztaty Administratorów Bezpieczeństwa Informacji Szkolenie otwarte 2016 r. PROGRAM SZKOLENIA: I DZIEŃ 9:00-9:15 Powitanie uczestników, ustalenie szczególnie istotnych elementów warsztatów, omówienie

Bardziej szczegółowo

Symantec Enterprise Security. Andrzej Kontkiewicz

Symantec Enterprise Security. Andrzej Kontkiewicz Symantec Enterprise Security Andrzej Kontkiewicz Typowe pytania o bezpieczeństwo Jak... 2 Cztery kroki do bezpieczeństwa Jak chronić informację, gdy informację, obrzeże Jak stanowią to ludzie chronić sieci?

Bardziej szczegółowo

Dlaczego outsourcing informatyczny? Jakie korzyści zapewnia outsourcing informatyczny? Pełny czy częściowy?

Dlaczego outsourcing informatyczny? Jakie korzyści zapewnia outsourcing informatyczny? Pełny czy częściowy? Dlaczego outsourcing informatyczny? Przeciętny informatyk firmowy musi skupić w sobie umiejętności i specjalizacje z wielu dziedzin informatyki. Równocześnie musi być administratorem, specjalistą od sieci

Bardziej szczegółowo

Powstrzymywanie zaawansowanych, ukierunkowanych ataków, identyfikowanie użytkowników wysokiego ryzyka i kontrola nad zagrożeniami wewnętrznymi

Powstrzymywanie zaawansowanych, ukierunkowanych ataków, identyfikowanie użytkowników wysokiego ryzyka i kontrola nad zagrożeniami wewnętrznymi TRITON AP-EMAIL Powstrzymywanie zaawansowanych, ukierunkowanych ataków, identyfikowanie użytkowników wysokiego ryzyka i kontrola nad zagrożeniami wewnętrznymi Od komunikacji pochodzącej ze stron internetowych

Bardziej szczegółowo

Historia firmy. Xcomp spółka z ograniczoną odpowiedzialnością sp. k. powstała w 1999 roku.

Historia firmy. Xcomp spółka z ograniczoną odpowiedzialnością sp. k. powstała w 1999 roku. Historia firmy Xcomp spółka z ograniczoną odpowiedzialnością sp. k. powstała w 1999 roku. Dzięki doskonałej organizacji pracy i nieprzeciętnej wiedzy technicznej, firma Xcomp bardzo szybko zdobyła pozycję

Bardziej szczegółowo

Zarządzanie ryzykiem w bezpieczeństwie informacji

Zarządzanie ryzykiem w bezpieczeństwie informacji Zarządzanie ryzykiem w bezpieczeństwie informacji Systemy zarządzania bezpieczeństwem informacji zyskują coraz większą popularność, zarówno wśród jednostek administracji publicznej jak i firm z sektora

Bardziej szczegółowo

SYSTEM VILM ZARZĄDZANIE CYKLEM ŻYCIA ŚRODOWISK WIRTUALNYCH. info@prointegra.com.pl tel: +48 (032) 730 00 42

SYSTEM VILM ZARZĄDZANIE CYKLEM ŻYCIA ŚRODOWISK WIRTUALNYCH. info@prointegra.com.pl tel: +48 (032) 730 00 42 SYSTEM VILM ZARZĄDZANIE CYKLEM ŻYCIA ŚRODOWISK WIRTUALNYCH info@prointegra.com.pl tel: +48 (032) 730 00 42 1. WPROWADZENIE... 3 2. KORZYŚCI BIZNESOWE... 4 3. OPIS FUNKCJONALNY VILM... 4 KLUCZOWE FUNKCJE

Bardziej szczegółowo

Nowa specjalność Zarządzanie badaniami i projektami Research and Projects Management

Nowa specjalność Zarządzanie badaniami i projektami Research and Projects Management Nowa specjalność Zarządzanie badaniami i projektami Research and Projects Management Kierunek: Informatyka i Ekonometria, WIiK Studia stacjonarne/niestacjonarne II stopnia Potrzeby kształcenia specjalistów

Bardziej szczegółowo

Zabezpieczanie danych użytkownika przed szkodliwym oprogramowaniem szyfrującym

Zabezpieczanie danych użytkownika przed szkodliwym oprogramowaniem szyfrującym Zabezpieczanie danych użytkownika przed szkodliwym oprogramowaniem szyfrującym Cyberprzestępcy szybko przyswajają techniki rozwijane przez przestępców w świecie fizycznym, łącznie z tymi służącymi do wyłudzania

Bardziej szczegółowo

Software Updater F-Secure Unikatowe narzędzie, które chroni firmy przed znanymi zagrożeniami

Software Updater F-Secure Unikatowe narzędzie, które chroni firmy przed znanymi zagrożeniami Software Updater F-Secure Unikatowe narzędzie, które chroni firmy przed znanymi zagrożeniami Sens automatycznych aktualizacji oprogramowania Większość współczesnych złośliwych programów infekuje systemy

Bardziej szczegółowo

Budowanie polityki bezpieczeństwa zgodnie z wymogami PN ISO/IEC 17799 przy wykorzystaniu metodologii OCTAVE

Budowanie polityki bezpieczeństwa zgodnie z wymogami PN ISO/IEC 17799 przy wykorzystaniu metodologii OCTAVE Budowanie polityki bezpieczeństwa zgodnie z wymogami PN ISO/IEC 17799 przy wykorzystaniu metodologii OCTAVE AGENDA: Plan prezentacji Wstęp Charakterystyka zagrożeń, zasobów i zabezpieczeń Założenia bezpieczeństwa

Bardziej szczegółowo

Personalizacja Plan-de-CAMpagne dostosowywanie programu do indywidualnych potrzeb firm, działów oraz osób

Personalizacja Plan-de-CAMpagne dostosowywanie programu do indywidualnych potrzeb firm, działów oraz osób Personalizacja Plan-de-CAMpagne dostosowywanie programu do indywidualnych potrzeb firm, działów oraz osób Wdrożenie systemu planowania zasobów przedsiębiorstwa pomimo wielu korzyści często też wiąże się

Bardziej szczegółowo

USŁUGI AUDYTU i BEZPIECZEŃSTWA INFORMACJI

USŁUGI AUDYTU i BEZPIECZEŃSTWA INFORMACJI USŁUGI AUDYTU i BEZPIECZEŃSTWA INFORMACJI Warszawa 2013r. STRONA 1 USŁUGI AUDYTU i BEZPIECZEŃSTWA INFORMACJI Warszawa 2013 Spis Treści 1 O Nas pointas.com.pl 2 Kadra i Kwalifikacje 3 Audyty i konsulting

Bardziej szczegółowo

Prezentacja wyników badania wykorzystania przetwarzania w chmurze w największych polskich przedsiębiorstwach

Prezentacja wyników badania wykorzystania przetwarzania w chmurze w największych polskich przedsiębiorstwach Prezentacja wyników badania wykorzystania przetwarzania w chmurze w największych polskich przedsiębiorstwach Grzegorz Bernatek Kierownik Projektów Analitycznych Audytel SA Partnerzy badania: Plan prezentacji

Bardziej szczegółowo

Do kogo kierujemy ofertę?

Do kogo kierujemy ofertę? 3 Bezpieczeństwo Do kogo kierujemy ofertę? Utrata danych stanowi jedno z największych zagrożeń dla płynności funkcjonowania firmy. Efektywne rozwiązanie pozwalające na szybkie, bezpieczne i zautomatyzowane

Bardziej szczegółowo

Autorytatywne serwery DNS w technologii Anycast + IPv6 DNS NOVA. Dlaczego DNS jest tak ważny?

Autorytatywne serwery DNS w technologii Anycast + IPv6 DNS NOVA. Dlaczego DNS jest tak ważny? Autorytatywne serwery DNS w technologii Anycast + IPv6 DNS NOVA Dlaczego DNS jest tak ważny? DNS - System Nazw Domenowych to globalnie rozmieszczona usługa Internetowa. Zapewnia tłumaczenie nazw domen

Bardziej szczegółowo

Rozdział 6 - Z kim się kontaktować - 199 - Spis treści. Wszelkie prawa zastrzeżone WiedzaTech sp. z o.o. 2012. Kopiowanie bez zezwolenia zabronione.

Rozdział 6 - Z kim się kontaktować - 199 - Spis treści. Wszelkie prawa zastrzeżone WiedzaTech sp. z o.o. 2012. Kopiowanie bez zezwolenia zabronione. Rozdział 6 - Z kim się kontaktować - 199 - Spis treści - 200 - Rozdział 6 - Z kim się kontaktować Spis treści Rozdział 1: Podstawy bezpiecznego użytkowania komputera... - 3 - Dlaczego należy aktualizować

Bardziej szczegółowo

Naszą misją jest dostarczenie profesjonalnego narzędzia do audytu legalności, które spełni kryteria kontroli i zaspokoi potrzeby klientów.

Naszą misją jest dostarczenie profesjonalnego narzędzia do audytu legalności, które spełni kryteria kontroli i zaspokoi potrzeby klientów. Naszą misją jest dostarczenie profesjonalnego narzędzia do audytu legalności, które spełni kryteria kontroli i zaspokoi potrzeby klientów. SoftwareCheck Przedstawiamy kompletne rozwiązanie Przyjaznego

Bardziej szczegółowo

Jak uniknąć utraty firmowych danych z tabletu?

Jak uniknąć utraty firmowych danych z tabletu? Warszawa, 29 lipca 2013 r. Jak uniknąć utraty firmowych danych z tabletu? Bezpieczeństwo to główna bariera dla wykorzystywania urządzeń mobilnych w biznesie. Konsekwencje utraty ważnych informacji mogą

Bardziej szczegółowo